Auditoria Computadores

Auditora de sistemas
Biblioteca

Auditoria de hardware y software en

estaciones de trabajo.

Integrantes
Andres Marchena
Carlos Andres nassif
Andres Eduardo Serpa Florez
Kelly Jhoana Simanca Cuervo
Docente a cargo
Marco Roberto Arvalo Yepes

Abril 2016

-1-

Auditoria Computadores

ndice.
Alcance............................................................................................................... 3
Objetivo.............................................................................................................. 3
Recursos............................................................................................................. 4
Etapas de trabajo................................................................................................ 4
1.

Recopilacion de informacion bsica..........................................................4

2.

Identificacin de riesgos potenciales........................................................4

3.

Objetivos de control.................................................................................. 5

4.

Determinacion de los procedimientos de control......................................5

5.

Pruebas a realizar..................................................................................... 6

6.

Obtencion de los resultados.....................................................................6

7.

Metodologia:............................................................................................ 6

8.

Normas.................................................................................................... 6

9.

Evidencias................................................................................................ 8

10. Comentarios y Conclusiones..................................................................14

11. Encuesta................................................................................................ 14

-2-

Auditoria Computadores

Alcance
La auditoria se realizar sobre los sistemas informaticos en computadoras del area
de Bilioteca que estn conectados a la red interna de la Corporacin Unificada
Nacional de Educacin Superior (C.U.N) sede monteria.

Objetivos
Objetivo General: Tener un panorama actualizado de los sistemas de informacin

en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y

seguridad de los activos.
Objetivos Especficos:
Evaluar la conexin cuando los alumnos accedan a internet.
Observar la que paginas son las que los alumnos ms acceden y mirara si el
sistema est protegido y su seguridad.
Evaluar las polticas y normas de infraestructura fsica lgica en las salas para el
correcto funcionamiento y as lograr una buena integracin en este espacio.
Revisar el licenciamiento del software
Revisar el inventario de los computadores y la parte red
Evaluar las copias de seguridad y sus fichas tcnicas
Revisar el inventario de los computadores para su mantenimiento y su respectivas
actualizaciones Repotenciar las maquinas si es necesario
Evaluar el reglamento de las reas informtica y que este conocido y
comprendido por los usuarios
Verificar cumplimiento de las normas de certificacin para el cableado de datos
Validar pruebas que validen el cumplimiento de polticas de TI.
Verificar la existencia y manejo adecuado de claves de acceso al software
administrativo.

-3-

Auditoria Computadores

Recursos
El numero de personas que integraran el equipo de auditoria sera de cuatro, con
un tiempo maximo de ejecucion de 2 a 3 semanas.

Etapas de trabajo
1. Recopilacion de informacion bsica
En colaboracin con los encargados del area de sistemas, y del profesor a cargo,
se reunio informacion interna del funcionamiento, para tener conocimientos de
como operan internamente.
Se realizo un cuestionario, a la persona encargada de esa area, con el objetivo de
saber como funciona el proceso de mantenimiento.
Es importante tambien reconocer y entrevistarse con los responsables del area de
sistemas de la empresa para conocer con mayor profundidad el hardware y el
software utilizado.
En las entrevistas incluiran:

Asistentes de informatica

Encargada area de biblioteca

2. Identificacin de riesgos potenciales

Se evaluo la forma de adquisicion de nuevos equipos o aplicativos de software.
Los procedimientos para adquirirlos que estan regulados y aprobados en base
a los estandares de la institucion y los requerimientos minimos para ejecutar
los programas base.
Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad
del propio software y la correcta configuracion y/o actualizacion de los equipos
criticos como el cortafuegos.
Los riesgos potenciales se pueden presentar de la mas diversa variedad de
formas.

-4-

Auditoria Computadores

Uno de los riesgos que se manifiestan, es que los equipos son de uso publico,
lo cual, conlleva a que cualquier persona con una USB infectada pueda afectar
el equipo, y asi propagarse a los demas equipos.

3. Objetivos de control
Se evaluaron la existencia y la aplicacin correcta de las politicas de seguridad,
emergencia y disaster recovery de la institucion.
Se hizo una revicion de los manuales de la institucin, que los procedimientos
de los mismos se encuentren actualizados y que sean claros y que el personal
los comprenda.
Actualmente la CUN cuenta con una Empresa encargada del programa de
seguridad, para la evaluacin de los riesgos que puedan existir, respecto a la
seguridad del mantenimiento de los equipos, programas y datos.

4. Determinacion de los procedimientos de control

Se determinaron los procedimientos adecuados para aplicar a cada uno de
los objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.
El hardware debe estar correctamente identificado y
documentado.
Se debe contar con todas las rdenes de compra y facturas
con el fin de contar con el respaldo de las garantas ofrecidas
por los fabricantes.
El acceso a los componentes del hardware est restringido a

la directo a las personas que lo utilizan.

Se debe contar con un plan de mantenimiento y registro de
fechas, problemas, soluciones y prximo mantenimiento
propuesto.
Objetivo N 2: Poltica de acceso a equipos.
Cada computador cuenta con nombre de usuario y contrasea
para acceder a los equipos.

-5-

Auditoria Computadores

Las claves debern ser seguras (mnimo 8 caracteres,

alfanumricos y alternando maysculas y minsculas).
Uso restringido de medios removibles (USB, CD-ROM, discos
externos etc).

5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de
los objetivos establecidos. Entre ellas podemos mencionar las siguientes tcnicas:
Tomar 10 maquinas al azar y evaluar la dificultad de acceso a
las mismas.
Facilidad para desarmar una pc.
Clave de los programas
Sistema operativo
Adicionar programas nuevos
Comprobacin de antivirus

6. Obtencion de los resultados.

Se evidencio que ahy computadores que tienen problemas fisicos y por lo cuales
solo generan problemas de espacio.
En cuanto al sistema cuentan con clave de registro, los programas tambien
cuentan con serial de activacin.
En el ambito de seguridad, cada computador cuenta con contrasea y usuario.

7. Metodologia:

METODOLOGIA:

Ejecutar una encuesta de todos los usuarios que acceden a los computadores de y
preguntarles que programas son los que ms ejecutan.
Analizar la informacin obtenida por la encuesta.
Revisar documentacin como planillas, inventario y reglamento.
Revisin de todo el inventario de los computadores, cables, dispositivos.
Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos

-6-

Auditoria Computadores

Pruebas de laboratorio (validaciones del sistema).

Elaboracin y presentacin del informe final las recomendaciones que se deben
tener para la buena ejecucin de la red estudiantil.

8. Normas
NORMAS:
LEGALES:

LEY 1273 DEL 5 DE ENERO 2009,Por medio de la cual se modifica el cdigo

penal, se crea un nuevo bien jurdico tutelado-denominado de la proteccin de
la informacin y de los datos , y se preservan integralmente los sistemas que
utiliza las tecnologas de la informacin y las comunicaciones, entre otras
disposiciones.

Ley de Comercio Electrnico en Colombia. (Ley 527 de 1999)

El 18 de agosto de 1999 fue expedida en Colombia la Ley 527 de 1999, por

medio de la cual se define y reglamenta el acceso y uso de los mensajes de
datos, del comercio electrnico y de las firmas digitales, se establecen las
entidades de certificacin y se dictan otras disposiciones.

DECRETO NUMERO 1360 DE 1989

Por el cual se reglamenta la inscripcin del soporte lgico (software) en el registro

nacional del derecho de autor.

-7-

Auditoria Computadores

9 . Evidencias

-8-

Auditoria Computadores

-9-

Auditoria Computadores

- 10 -

Auditoria Computadores

- 11 -

Auditoria Computadores

- 12 -

Auditoria Computadores

- 13 -

Auditoria Computadores

- 14 -

Auditoria Computadores

10. Conclusiones y Comentarios.

Como resultado de la auditoria podemos manifestar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el programa de auditora.

El mantenimiento peridico de los equipos influye en su desempeo.

Las reas poco ventiladas, presenta problema con un ventilador, y el aire no en fra
mucho

Se requieren equipos suficientes para realizar las prcticas.

Horarios flexibles para los estudiantes que desean afianzar sus conocimientos.

Mejorar las reas es indispensable a mediano o corto plazo ya que la

tecnologa no se detiene.

11. ENCUESTA
SI

NO

CUESTIONARIO

1.

La Entidad dispone de polticas para el

mantenimiento de los equipos de cmputo?

2.

Se cumplen estas polticas?

3.
Se encuentran debidamente aprobadas las
polticas ?

4.
Estas polticas contemplan metodologas para
llevar a cabo el mantenimiento tanto de hardware como
de software ?

5.
Existen contratos de
compaas especializadas?

6.

mantenimiento

con

Se encuentran vigentes ?

7.
Quin administra el cumplimiento de tales
contratos ?

- 15 -

N/A

Auditoria Computadores

8.
Se hacen exigibles la plizas de los contratos a
los contratistas que no cumplen ?

9.
Se ha adquirido legalmente todo el Software
instalado en los equipos de la Entidad ?

10. Se sigue alguna metodologa de adquisicin del

Software?

11. Se ha adquirido legalmente todas las partes del

equipo?

12. Alguna metodologa de adquisicin de equipos?

13.
Se controla que solo se encuentren instalados aquellos
programas de uso constante, adems de no permitirse
la duplicidad de instalaciones o de archivos ?

14. Se encuentra debidamente licenciada la totalidad

del software que usa la Entidad ?

15. Contemplan las polticas de la Entidad controles

administrativos que aseguren la confiabilidad en la
captura de los datos ?

16. Se cuenta con controles por parte del personal que

maneja la aplicacin para detectar errores u omisiones
en el momento de la captura?

17. Cuentan los sistemas con rutinas de verificacin de

la informacin que se est capturando ?

18. Son efectivas tales rutinas ?

19. Rechaza definitivamente la aplicacin aquellas

transacciones invalidas?

20.
Existen y son efectivos los controles
administrativos que permitan la confiabilidad en el
procesamiento de los datos?

21.
Existen y son efectivos los controles
proporcionados por la aplicacin para prevenir errores
en el procesamiento de la informacin?

22. Se cuenta con controles por parte del personal que

maneja la aplicacin para detectar errores u omisiones
en el momento del procesamiento?

23. Cuenta la aplicacin con rutinas de verificacin de

la informacin que se est procesando?

- 16 -

Auditoria Computadores

24. Son efectivos los procedimientos usados para

corregir los datos procesados erradamente ?

25.
Existen y son efectivos los controles
administrativos que permitan la confiabilidad en la
salida de los datos?

26. Se cuenta con controles por parte del personal que

maneja la aplicacin para detectar errores u omisiones
en la salida de informacin?

27. Cuenta la aplicacin con rutinas de verificacin de

la informacin que sale del sistema?

Bibliografa.
Ejercicio prctico de la Universidad Pontificia de Salamanca.
Se examin el trabajo realizado en dicha entidad y siguiendo las pautas aplicadas en el informe, se
fue elaborando el trabajo.
INFORME AUDITORIA SALA 5 (TRABAJO ENTREGADO ANTERIORMENTE)

- 17 -